セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA 9.x EIGRP設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料にルートを Enhanced Interior Gateway Routing Protocol (EIGRP)によって行うために ASA ソフトウェア バージョン 9.x およびそれ以降でサポートされる、学習し認証を記述されています Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)を設定する方法を。

Dinkar Sharma、マグナス Mortensen、および Prashant Joshi によって貢献される、Cisco TAC エンジニア。

前提条件

要件

Cisco はこの設定を試みる前にこれらの条件を満たすことを必要とします:

  • Cisco ASA はバージョン 9.x または それ 以降を実行する必要があります。
  • EIGRP は単一コンテキスト モードに複数のコンテキスト モードでサポートされないのである必要があります。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco ASA ソフトウェア バージョン 9.2.1
  • Cisco Adaptive Security Device Manager (ASDM)バージョン 7.2.1
  • バージョン 12.4 を実行する Cisco IOS ® ルータ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

背景説明

ガイドラインと制限事項

  • 1 つの EIGRP 例はマルチモードのシングル モードでおよびコンテキストごとにサポートされます。
  • 2 つのスレッドはマルチモードの EIGRP 例ごとのコンテキストごとに作成され、show process と表示することができます。
  • 自動サマリはデフォルトでディセーブルにされます。
  • 隣接関係は個々のインターフェイス モードでクラスタ ユニットの間で確立されません。
  • Default-information は[<acl>]着信 デフォルト ルート 候補の外部ビットをフィルタリングするために使用されます。
  • Default-information は[<acl>]発信 デフォルト ルート 候補の外部ビットをフィルタリングするために使用されます。

EIGRP およびフェールオーバー

Cisco ASA コードバージョン 8.4.4.1 およびそれ以降はアクティブユニットからスタンバイユニットにダイナミックルートを同期します。 さらに、ルーティングの削除はまたスタンバイユニットに同期されます。 ただし、ピア 隣接関係の状態は同期されません; アクティブデバイスだけ近隣状態を維持し、ダイナミック ルーティングに積極的に加わります。 ASA FAQ を参照して下さい: ダイナミックルートが同期される場合フェールオーバーの後で何が起こりますか。 参照してください。

設定

このセクションはこの資料でカバーされる機能を設定する方法を記述します。

: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

説明されるネットワーク トポロジでは、Cisco ASA 内部インターフェイス IP アドレスは 10.10.10.1/24 です。 目標は隣接ルータ(R1)を通した内部ネットワーク(10.20.20.0/24、172.18.124.0/24、および 192.168.10.0/24)にルーティングを動的に学習するために Cisco ASA の EIGRP を設定することです。 R1 はリモート内部ネットワークに他の 2 つのルータを通したルーティングを学習します(R2 および R3)。

ASDM の設定

ASDM はセキュリティ アプライアンス モデルのソフトウェアを設定し、監視するために使用されるブラウザ ベースのアプリケーションです。 ASDM はセキュリティ アプライアンス モデルからロードされ、次にデバイスを設定し、監視し、管理するために使用されます。 また ASDM アプリケーションを Javaアプレットより速く起動させるために ASDM ランチャーを使用できます。 このセクションはこの資料に説明がある ASDM で機能を設定する必要がある情報を記述します。

Cisco ASA の EIGRP を設定するためにこれらのステップを完了して下さい。

  1. ASDM の Cisco ASA へのログイン。

  2. 設定へのナビゲート > デバイス セットアップ > ルーティング > このスクリーン ショットに示すように ASDM インターフェイスの EIGRP エリア。



  3. このスクリーン ショットに示すようにセットアップ > プロセス 例タブの EIGRP ルーティング プロセスを、有効に して下さい。 この例では、EIGRPプロセスは 10.です



  4. オプションのによって進められる EIGRP ルーティング プロセス パラメータを設定できます。 セットアップ > プロセス 例タブで『Advanced』 をクリック して下さい。 スタブルーティング プロセスが、自動経路集約を、定義する再割り当てされたルートのためのデフォルトメトリックを、変更する内部のためのアドミニストレーティブ ディスタンスをディセーブルにするおよび外部EIGRPルートを設定でき静的な Router ID を設定し、隣接関係変更のロギングを有効に するか、またはディセーブルにしますと同時に EIGRP ルーティング プロセス。 この例では、EIGRPルータ ID は内部インターフェイスの IP アドレスで静的に設定されます(10.10.10.1)。 さらに、自動サマリはまたディセーブルにされます。 すべてのその他のオプションはデフォルト値で設定されます。



  5. 前の手順を完了した後、セットアップ > ネットワーク タブの EIGRP ルーティングに加わるインターフェイスおよびネットワークを定義して下さい。 このスクリーン ショットに示すように『Add』 をクリック して下さい。



  6. 次の画面が表示されます。 この例では、追加する唯一のネットワークは EIGRP が内部インターフェイスでだけ有効に なるので内部ネットワーク(10.10.10.0/24)です。



    IP アドレスとだけインターフェイス接続します EIGRP ルーティング プロセスに定義されたネットワークの内で加わる下る。 EIGRP ルーティングに加わりたいと思わないが、それはアドバタイズされてほしいと思うネットワークに接続されることインターフェイスがあったら、インターフェイスが EIGRP アップデートを送信するか、または受信できないようにインターフェイスが接続される、および受動インターフェイスでそのインターフェイスを設定するためにカバーするネットワークをセットアップ > ネットワーク タブのネットワークエントリを設定して下さい。



    : 受動態で設定されるインターフェイスは EIGRP アップデートを送信しませんし、受信しません。



  7. オプションでフィルタ規則 ペインのルートフィルタを定義できます。 ルートフィルタリングは EIGRP アップデートで送信 されるか、または受け取られることができるルーティングのより多くの制御を提供します。

  8. オプションで、ルート再配布を設定できます。 Cisco ASA は EIGRP ルーティング プロセスにルーティング情報プロトコル (RIP)および Open Shortest Path First (OSPF)によって検出されるルーティングを再配布できます。 また EIGRP ルーティング プロセスにスタティックおよび接続ルータを再配布できます。 設定するためにで設定されるネットワークの範囲の内で > ネットワーク タブ落ちる場合スタティックか接続ルータを再配布する必要はありません。 [Redistribution] ペインでルート再配布を定義します。

  9. EIGRP helloパケットはマルチキャスト パケットとして送信されます。 EIGRPネイバが非ブロードキャストネットワークを渡っている場合、手動でそのネイバーを定義して下さい。 手動で EIGRPネイバを定義するとき、Helloパケットはユニキャスト メッセージとしてそのネイバーに送信されます。 静的な EIGRPネイバを定義するために、静的ネイバー ペインに行って下さい。

  10. デフォルトで、デフォルト ルートは送信 され、受け付けられます。 デフォルトのルート情報の送信 し、受信をディセーブルにするために制限するか、または、設定 > デバイス セットアップ > ルーティング > EIGRP > デフォルト 情報 ペイン開いて下さい。 デフォルト 情報 ペインは EIGRP アップデートのデフォルトのルート情報の送信 し、受信を制御するルールの表を表示する。

    : 」「の」1 つおよび 1 を「各 EIGRP ルーティング プロセスのために支配してもらうことができます。 (1 プロセスだけ現在サポートされます。)

EIGRP 認証を設定して下さい

Cisco ASA は EIGRP ルーティング プロトコルからのルーティング更新の MD5認証をサポートします。 各 EIGRP パケットの MD5-keyed ダイジェストは承認されていないソースから不正 なか偽ルーティング メッセージの概要を防ぎます。 EIGRP メッセージへの認証の付加はルータおよび Cisco ASA が同じ事前共有キーで設定される他のルーティングデバイスからのルーティング メッセージだけを受け入れるようにします。 設定されるこの認証なしで誰か別か反対ルート情報を用いる別のルーティングデバイスを導入すれば、ルータのルーティング テーブルはまたは Cisco ASA はネットワークに破損になり、DoS攻撃は続くことができます。 に(EIGRP メッセージ 送信 される ASA が含まれている)の間で認証をルーティングデバイス追加する時、ルーティングトポロジーに EIGRPルータの不正 な 付加を防ぎます。

EIGRPルート 認証はインターフェイスごとに設定されます。 EIGRP 通報 認証のために設定されるインターフェイスのすべての EIGRPネイバは確立されるべき隣接関係のための同じ認証モードおよびキーで設定する必要があります。

Cisco ASA の EIGRP MD5認証を有効に するためにこれらのステップを完了して下さい。

  1. ASDM で、示されているように設定 > デバイス セットアップ > ルーティング > EIGRP > インターフェイスにナビゲート して下さい。



  2. この場合、EIGRP は内部インターフェイス(GigabitEthernet 0/1)で有効に なります。 GigabitEthernet を 0/1 のインターフェイス選択し、『Edit』 をクリック して下さい。

  3. 認証の下で、MD5認証を『Enable』 を選択 して下さい。 認証パラメータについての詳細をここに追加して下さい。 この場合、事前共有キーは cisco123 で、キー ID は 1 です。

EIGRPルート フィルタリング

EIGRP を使うと、送信され、受信されるルーティング更新を制御できます。 この例では、R1 の後ろにあるネットワークプレフィクス 192.168.10.0/24 のための ASA のルーティング更新をブロックします。 ルートフィルタリングの場合、標準 ACL しか使用なできます。

access-list eigrp standard deny 192.168.10.0 255.255.255.0 
access-list eigrp standard permit any

router eigrp 10
distribute-list eigrp in

確認

ASA(config)# show access-list eigrp
access-list eigrp; 2 elements; name hash: 0xd43d3adc
access-list eigrp line 1 standard deny 192.168.10.0 255.255.255.0 (hitcnt=3) 0xeb48ecd0
access-list eigrp line 2 standard permit any4 (hitcnt=12) 0x883fe5ac

設定

Cisco ASA CLI の設定

これは Cisco ASA CLI 設定です。

!outside interface configuration

interface GigabitEthernet0/0
description outside interface connected to the Internet
nameif outside
security-level 0
ip address 198.51.100.120 255.255.255.0
!

!inside interface configuration

interface GigabitEthernet0/1
description interface connected to the internal network
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0
!

!EIGRP authentication is configured on the inside interface

authentication key eigrp 10 cisco123 key-id 1
authentication mode eigrp 10 md5
!

!management interface configuration

interface Management0/0
nameif management
security-level 99
ip address 10.10.20.1 255.255.255.0 management-only
!
!

!EIGRP Configuration - the CLI configuration is very similar to the
!Cisco IOS router EIGRP configuration.

router eigrp 10
no auto-summary
eigrp router-id 10.10.10.1
network 10.10.10.0 255.255.255.0
!

!This is the static default gateway configuration

route outside 0.0.0.0 0.0.0.0 198.51.100.1 1

Cisco IOS ルータ(R1) CLI 設定

これは R1 (内部ルータ)の CLI 設定です。

!!Interface that connects to the Cisco ASA. Notice the EIGRP authentication
paramenters.


interface FastEthernet0/0
ip address 10.10.10.2 255.255.255.0
ip authentication mode eigrp 10 md5
ip authentication key-chain eigrp 10 MYCHAIN
!
!

! EIGRP Configuration

router eigrp 10
network 10.10.10.0 0.0.0.255
network 10.20.20.0 0.0.0.255
network 172.18.124.0 0.0.0.255
network 192.168.10.0
no auto-summary

確認

設定を確認するためにこれらのステップを完了して下さい。

  1. ASDM で、モニタリング> ルーティング > EIGRPネイバ EIGRPネイバのそれぞれが表示されるためにナビゲートできます。 このスクリーン ショットはアクティブなネイバーとして内部ルータ(R1)を示します。 隣接関係がの上にどの位あったかまた、holdtime、そしてこのネイバーが常駐するインターフェイスを表示できます(稼働時間)。



  2. また、[Monitoring] > [Routing] > [Routes] に移動して、ルーティング テーブルを確認できます。 このスクリーン ショットでは、192.168.10.0/24、172.18.124.0/24、および 10.20.20.0/24 ネットワークが R1 によって学習されることがわかります(10.10.10.2)



    CLI から、show route コマンドを使用して、同じ出力を取得できます。

    ciscoasa# show route

    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP

    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
    i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
    * - candidate default, U - per-user static route, o - ODR
    P - periodic downloaded static route
    Gateway of last resort is 100.10.10.2 to network 0.0.0.0
    C 198.51.100.0 255.255.255.0 is directly connected, outside
    D 192.168.10.0 255.255.255.0 [90/131072] via 10.10.10.2, 0:32:29, inside
    D 172.18.124.0 255.255.255.0 [90/131072] via 10.10.10.2, 0:32:29, inside
    C 127.0.0.0 255.255.0.0 is directly connected, cplane
    D 10.20.20.0 255.255.255.0 [90/28672] via 10.10.10.2, 0:32:29, inside
    C 10.10.10.0 255.255.255.0 is directly connected, inside
    C 10.10.20.0 255.255.255.0 is directly connected, management
    S* 0.0.0.0 0.0.0.0 [1/0] via 198.51.100.1, outside


    ASA バージョン 9.2.1 および それ 以降を使うと、EIGRPルートだけ表示するために show route EIGRP コマンドを使用できます。

    ciscoasa(config)# show route eigrp

    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2
    i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
    ia - IS-IS inter area, * - candidate default, U - per-user static route
    o - ODR, P - periodic downloaded static route, + - replicated route

    Gateway of last resort is not set

    D 192.168.10.0 255.255.255.0 [90/131072] via 10.10.10.2, 0:32:29, inside
    D 172.18.124.0 255.255.255.0 [90/131072] via 10.10.10.2, 0:32:29, inside
    D 10.20.20.0 255.255.255.0 [90/28672] via 10.10.10.2, 0:32:29, inside


  3. また学習されるネットワークおよび EIGRP トポロジーについての情報を得るために提示 eigrp トポロジー コマンドを使用できます。

        ciscoasa# show eigrp topology
    EIGRP-IPv4 Topology Table for AS(10)/ID(10.10.10.1)
    Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
    r - reply Status, s - sia Status
    P 10.20.20.0 255.255.255.0, 1 successors, FD is 28672
    via 10.10.10.2 (28672/28416), GigabitEthernet0/1
    P 10.10.10.0 255.255.255.0, 1 successors, FD is 2816
    via Connected, GigabitEthernet0/1
    P 192.168.10.0 255.255.255.0, 1 successors, FD is 131072
    via 10.10.10.2 (131072/130816), GigabitEthernet0/1
    P 172.18.124.0 255.255.255.0, 1 successors, FD is 131072
    via 10.10.10.2 (131072/130816), GigabitEthernet0/1


  4. 提示 EIGRPネイバはコマンド アクティブな隣接および対応した情報を確認してまた役立ちます。 この例はステップ 1.の ASDM から得た同じ情報を示したものです。

    ciscoasa# show eigrp neighbors
    EIGRP-IPv4 neighbors for process 10
    H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms)Cnt Num

    0 10.10.10.2 Gi0/1 12 00:39:12 107 642 0 1

パケット フロー

パケットフローはここにあります。

  1. ASA はリンクでアップし、EIGRP 設定されたインターフェイスすべてによって mCast Helloパケットを送信 します。

  2. R1 は Helloパケットを受信し、mCast Helloパケットを送信 します。



  3. ASA はこれは初期化プロセスであることを Helloパケットを受信し、示す最初のビットが設定が付いているアップデートパケットを送信 します。

  4. R1 はこれは初期化プロセスであることをアップデートパケットを受信し、示す最初のビットが設定が付いているアップデートパケットを送信 します。



  5. ASA および R1 両方の後で hellos を交換し、近隣隣接関係は、アップデート情報は受け取られたことを示す ACK パケットの ASA および R1 応答両方確立されます。

  6. ASA はアップデートパケットの R1 にルーティング情報を送信 します。

  7. R1 はトポロジーテーブルでアップデートパケット 情報を挿入します。 トポロジーテーブルは相手がアドバタイズするすべての宛先が含まれています。 それは宛先および関連するメトリックに旅できる相手全員と共に各宛先はリストされているように編成されます。

  8. R1 は ASA にそれからアップデートパケットを送ります。



  9. それがアップデートパケットを受信すれば、ASA は R1 に ACK パケットを送信 します。 ASA および R1 が互いからアップデートパケットの受け取りに成功した後、準備ができています選択しサクセサ(推奨)およびトポロジーテーブルのフィージブルサクセサ(バックアップ)ルーティングを、ルーティング テーブルに提供しますサクセサ ルーティングを。

トラブルシューティング

このセクションは EIGRP 問題を解決して役立ちます Debug および Show コマンドについての情報が含まれています。

トラブルシューティングのためのコマンド

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。 デバッグ情報を表示するために Diffusing Update Algorithm (DUAL) 有限状態マシンは特権EXECモードで、debug eigrp fsm コマンドを使用します。 このコマンドは EIGRP フィージブルサクセサ アクティビティを観察し、ルート更新が経路制御プロセスによってインストールされ、削除されるかどうか判別することを可能にします。

これは R1 の正常なピアリング内の debug コマンドの出力です。 システムでインストールに成功する異なるルーティングのそれぞれの表示できます。

EIGRP-IPv4(Default-IP-Routing-Table:10): Callback: route_adjust GigabitEthernet0/1
DUAL: dest(10.10.10.0 255.255.255.0) not active
DUAL: rcvupdate: 10.10.10.0 255.255.255.0 via Connected metric 2816/0 on topoid 0
DUAL: Find FS for dest 10.10.10.0 255.255.255.0. FD is 4294967295, RD is 4294967
295 on topoid 0 found
DUAL: RT installed 10.10.10.0 255.255.255.0 via 0.0.0.0
DUAL: Send update about 10.10.10.0 255.255.255.0. Reason: metric chg on topoid
0
DUAL: Send update about 10.10.10.0 255.255.255.0. Reason: new if on topoid 0
DUAL: dest(10.20.20.0 255.255.255.0) not active
DUAL: rcvupdate: 10.20.20.0 255.255.255.0 via 10.10.10.2 metric 28672/28416 on t
opoid 0
DUAL: Find FS for dest 10.20.20.0 255.255.255.0. FD is 4294967295, RD is 4294967
295 on topoid 0 found
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 10.20.20.0 ()
DUAL: RT installed 10.20.20.0 255.255.255.0 via 10.10.10.2
DUAL: Send update about 10.20.20.0 255.255.255.0. Reason: metric chg on topoid
0
DUAL: Send update about 10.20.20.0 255.255.255.0. Reason: new if on topoid 0
DUAL: dest(172.18.124.0 255.255.255.0) not active
DUAL: rcvupdate: 172.18.124.0 255.255.255.0 via 10.10.10.2 metric 131072/130816
on topoid 0
DUAL: Find FS for dest 172.18.124.0 255.255.255.0. FD is 4294967295, RD is 42949
67295 on topoid 0 found
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 172.18.124.0 ()
DUAL: RT installed 172.18.124.0 255.255.255.0 via 10.10.10.2
DUAL: Send update about 172.18.124.0 255.255.255.0. Reason: metric chg on topoi
d 0
DUAL: Send update about 172.18.124.0 255.255.255.0. Reason: new if on topoid 0
DUAL: dest(192.168.10.0 255.255.255.0) not active
DUAL: rcvupdate: 192.168.10.0 255.255.255.0 via 10.10.10.2 metric 131072/130816
on topoid 0
DUAL: Find FS for dest 192.168.10.0 255.255.255.0. FD is 4294967295, RD is 42949
67295 on topoid 0 found
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 192.168.10.0 ()
DUAL: RT installed 192.168.10.0 255.255.255.0 via 10.10.10.2
DUAL: Send update about 192.168.10.0 255.255.255.0. Reason: metric chg on topoi
d 0
DUAL: Send update about 192.168.10.0 255.255.255.0. Reason: new if on topoid 0

またデバッグ EIGRPネイバ コマンドを使用できます。 これは Cisco ASA が R1 で正常に新しいネイバー関係を作成したときにこの debug コマンドの出力です。

ciscoasa# EIGRP-IPv4(Default-IP-Routing-Table:10): Callback: route_adjust Gigabi
tEthernet0/1
EIGRP: New peer 10.10.10.2
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 10.20.20.0 ()
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 172.18.124.0 ()
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 192.168.10.0 ()

また Cisco ASA および同位間の詳しい EIGRP メッセージ交換情報のために debug eigrp packets を使用できます。 この例では、認証鍵はルータ(R1)で変更され、問題が認証 ミスマッチであることをデバッグ 出力は示します。

ciscoasa# EIGRP: Sending HELLO on GigabitEthernet0/1
AS 655362, Flags 0x0, Seq 0/0 interfaceQ 1/1 iidbQ un/rely 0/0
EIGRP: pkt key id = 1, authentication mismatch
EIGRP: GigabitEthernet0/1: ignored packet from 10.10.10.2, opcode = 5
(invalid authentication)

EIGRP 隣接性は Syslog ASA-5-336010 とダウン状態になります

ASA は EIGRP 分配リストのどの変更でも行うとき EIGRP 隣接性を廃棄します。 この Syslog メッセージは見られます。

EIGRP Nieghborship Resets with syslogs ASA-5-336010: EIGRP-IPv4: PDM(314 10:
Neighbor 10.15.0.30 (GigabitEthernet0/0) is down: route configuration changed

この設定によって、新しい ACL項目が ACL に追加される時はいつでも、Eigrp ネットワーク リスト EIGRP 隣接性はリセットされます。

router eigrp 10
distribute-list Eigrp-network-list in
network 10.10.10.0 255.0.0.0
passive-interface default
no passive-interface inside
redistribute static

access-list Eigrp-network-list standard permit any

隣接関係が隣接デバイスと稼働していることを観察できます。

ciscoasa(config)# show eigrp neighbors
EIGRP-IPv4 neighbors for process 10
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 10.10.10.2 Gi0/3 10 00:01:22 1 5000 0 5

ciscoasa(config)# show eigrp neighbors
EIGRP-IPv4 neighbors for process 10
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 10.10.10.2 Gi0/3 13 00:01:29 1 5000 0 5

この場合 access-list Eigrp ネットワーク リスト標準拒否 172.18.24.0 255.255.255.0 を追加できます。

%ASA-5-111010: User 'enable_15', running 'CLI' from IP 0.0.0.0, executed 'debug
eigrp fsm'
%ASA-7-111009: User 'enable_15' executed cmd: show access-list
%ASA-5-111008: User 'enable_15' executed the 'access-list Eigrp-network-list line
1 permit 172.18.24.0 255.255.255.0' command.
%ASA-5-111010: User 'enable_15', running 'CLI' from IP 0.0.0.0, executed 'access-list
Eigrp-network-list line 1 permit 172.18.24.0.0 255.255.255.0'
%ASA-7-111009: User 'enable_15' executed cmd: show eigrp neighbors
%ASA-5-336010: EIGRP-IPv4: PDM(599 10: Neighbor 10.10.10.2 (GigabitEthernet0/3) is
down: route configuration changed
%ASA-5-336010: EIGRP-IPv4: PDM(599 10: Neighbor 10.10.10.2 (GigabitEthernet0/3) is
up: new adjacency

これらのログは debug eigrp fsm で表示される場合があります。

IGRP2: linkdown: start - 10.10.10.2 via GigabitEthernet0/3 
DUAL: Destination 10.10.10.0 255.255.255.0 for topoid 0
DUAL: linkdown: finish

これは 8.4 からのすべての新しい ASA バージョンの予期された動作および 8.6 から 9.1 です。 同じは 12.4 から 15.1 コード列を実行するルータで観察されました。 ただし、この動作は ASA バージョン 8.2 および それ 以前 ASA ソフトウェア バージョンで行う ACL への変更を EIGRP 隣接関係をリセットしないので観察されません。

次にネイバーが最初に、およびそれアップするとき EIGRP がネイバーに完全なトポロジーテーブルを送信 する変更だけ送信 するので、EIGRP のイベント駆動型性質で分配リストを設定することは変更が隣接関係の完全なリセットなしで適用することができるように困難にします。 ルータは電流によって定められてリストを配りなさいようにに送信 され、変更を加えるためにどのルートが(すなわち、か、または送信 されません でしたり/受け入れられました)変更したか確認するために隣接から届いた各ルートを把握する必要があります。 近接デバイス間の隣接関係を単に中断 し、再確立することはもっと簡単です。

隣接関係が中断 され、再確立されるとき、特定 の ネイバ近接デバイス間のすべての学習したルートは単に忘れられ、相手間の全体の同期はあらためて実行された-新しいのと…リストを配って下さい。

Cisco IOS ルータを解決するために使用する EIGRP 手法のほとんどは Cisco ASA で適用することができます。 EIGRP を解決するために、主要なトラブルシューティング フローチャートを参照して下さい; ボックスによってマークされる本管で開始して下さい。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 91264